Computerworld News Service: Mysteriet om, hvorfor it-kriminielle gerne vil have fingrene i en udgået Nokia-telefon, er endnu ikke opklaret.
Hackere har på fora i den kriminelle undergrund tilbudt op til 25.000 euro, hvad der svarer til over 186.000 kroner, for Nokia 1100-telefoner, der er produceret på virksomhedens tidligere fabrik i Bochum i Tyskland. Denne model kan ifølge den hollandske virksomhed Ultrascan Advanced Global Investigations angiveligt hackes til at muliggøre ulovlige online-bankoverførsler.
Nokia udtaler humoristisk, at virksomheden ikke var klar over, at prisen for en brugt telefon, der kostede omkring 700 kroner, da den kom på markedet i 2003, nu er steget så meget. Derudover fastholder Nokia, at telefonens software ikke indeholder de påståede sårbarheder.
"Vi har ikke identificeret noget softwareproblem i telefonen, der kan give anledning til de påståede brugsscenarier," skriver virksomheden i en udtalelse udsendt på e-mail.
Tyske engangskodeord
1100-modellen kan tilsyneladende omprogrammeres til at bruge andres telefonnumre, hvilket også ville lade telefonen modtage andres sms'er. Dette ville åbne muligheder for online-bankbedrageri.
I Tyskland sender bankerne et mobilt transaktions-autentifikationsnummer til en persons mobiltelefon, som skal angives i en webbaseret formular, før man for eksempel kan overføre penge til en anden konto.
Et sådant autentifikationsnummer kan kun bruges en gang og er således et eksempel på brug af engangskodeord som sikkerhedsfunktion.
Kriminelle har vist sig dygtige til at få fat i brugernavne og kodeord til online-bankkonti enten ved at narre folk til at besøge falske websites, der ligner deres egen banks website på en prik, ved hjælp af snedige e-mails eller simpelthen ved at hacke kundernes computere.
Værdiløst for en svindler?
Europæiske banker udsteder typisk en liste af disse transaktions-autentifikationsnumre til deres kunder, men phishere kan narre folk til at afsløre disse kodeord.
Deutsche Postbank accepterede tidligere ethvert transaktions-autentifikationsnummer fra sådan en liste for at gennemføre en transaktion. Derefter gik banken over til at kræve specifikke numre fra listen. Da der fortsat forekom svindel, besluttede banken i 2005 at udvide brugen af de mobile transaktions-autentifikationsnumre.
"Det mobile transaktions-autentifikationsnummer gælder kun for den anmodede transaktion og kun i et kort tidsrum," står der på bankens website. "Det er værdiløst for en svindler."
Det vil sige, på nær hvis svindleren modtager offerets mobile transaktions-autentifikationsnummer, hvilket Nokia 1100-hacket angiveligt gør muligt.
Men Nokia kender ikke til noget software-problem med 1100-modellen, der kan gøre denne form for opkaldssnyd mulig. En telefons SIM-kort - hvor telefonnummeret ligger - indeholder ifølge virksomheden sine egne sikkerhedsmekanismer separat fra selve telefonen.
Nokia er opmærksom på kommercielle tjenester, der hævder at kunne levere opkaldsidentifikation eller tjenester til at snyde med telefonnumre, men i disse tilfælde fungerer tjenesteudbyderen som mellemled mellem opkaldsabonnent og modtager, forklarer Nokia.
Sikkerhedsfirma: Ikke umuligt
Men det er dog muligt at have flere telefoner til at køre på et teleselskabs netværk, der alle bruger det samme telefonnummer, mener Sean Sullivan, som er sikkerhedsrådgiver for sikkerhedsleverandøren F-Secure fra Finland.
Den sidste telefon, der brugte netværket, vil som regel være den, der modtager indkommende beskeder, forklarer han.
"Så hvis denne bestemte Nokia 1100 kan modificeres til at overtage et offers telefonnummer, burde det være muligt for den at blive primær telefon - i hvert fald længe nok til at modtage autentifikationsnummeret," påpeger Sullivan.
De tekniske detaljer, om hvordan 1100-modellen bliver modificeret, er stadig ukendte, fortæller Frank Engelsman fra Ultrascan.
Men en kvinde i Finland kontaktede mandag Ultrascan efter at have set et nyhedsindslag og tilbød at sende sin Nokia 1100, der var produceret i Bochum. Når den ankommer, vil den blive undersøgt og testet for at se om en opsnapning af det mobile transaktions-autentikationsnummer kan efterprøves, forklarer Engelsman.
Samtidig skriver det hollandske it-website portablegear.nl, at det har offentliggjort falske online-annoncer om at ville sælge denne bestemte Nokia 1100. Folk bød næsten 4.000 kroner og tilbød at komme at hente telefonen med det samme.
Nokia producerede flere end 200 millioner enheder af 1100-modellen. Virksomheden offentliggør dog ikke tal for, hvor mange af disse telefoner, der blev produceret på fabrikken i Bochum.
Oversat af Thomas Bøndergaard
